Möglichkeiten des Nachweises von Online-Marketing-Fraud

Inhaltsverzeichnis

Abstract

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1.. Einleitung.
1.1 Ausgangssituation und Problemstellung.
1.2 Ziel der Arbeit
1.3 Aufbau und Methodik der Arbeit.

2.. Vorstellung Online-Marketing-Fraud.
2.1 Definition von Online-Marketing-Fraud.
2.1.1 Impression Fraud.
2.1.2 Click Fraud.
2.2 Ursachen, Motive und Gründe von Fraud.
2.2.1 Die Rolle von Werbetreibenden.
2.2.2 Die Rolle von Publisher
2.2.3 Strukturen des Online-Marketing-Ökosystems.
2.2.4 Gewinnmöglichkeiten von Betrügern.
2.3 Definition von Bots.
2.4 Vorstellung Botnet und Funktionsweise.
2.4.1 Beschreibung von Botnet
2.4.2 Infizierung von Rechnern.
2.4.3 Steuerung eines Botnets.
2.5 Das Verhalten von Bots.
2.5.1 Browser
2.5.2 Zeitliches Verhalten.
2.6 Fraud durch Bots.
2.7 Fraud durch Menschen.
2.7.1 Unsichtbare Anzeigen.
2.7.2 Click Jacking.
2.7.3 Ad Injection und Adware.
2.7.4 Parked Domains.
2.7.5 Domain Spoofing.
2.8 Entdeckung und Prävention.
2.8.1 Entdeckungsmaßnahmen.
2.8.2 Präventionsmaßnahmen.
2.8.2.1 Blacklist
2.8.2.2 Whitelist

3.. Qualitative Vorstudie.
3.1 Methodik der qualitativen Vorstudie.
3.2 Grundlage der Interviews.
3.2.1 Vorstellung des Interviewleitfadens.
3.2.2 Interviewpartner
3.3 Auswertungsmethode der Interviews.
3.3.1 Transkription.
3.3.2 Einzelanalyse.
3.3.3 Generalisierende Analyse.
3.3.4 Kontrollphase.
3.3.5 Auswertung der Interviews.
3.4 Aufstellung der Hypothesen.
3.5 Vorstellung der Hypothesen.

4.. Quantitativ experimenteller Versuch.
4.1 Methodik des quantitativen Versuchs.
4.2 Fragestellung des Versuchs.
4.3 Vorstellung des Experimentdesigns.
4.3.1 Veränderung der unabhängigen Variable Preis.
4.3.2 Veränderung der unabhängigen Variable Targeting.
4.4 Auswertungsmethode der Werbekampagne.
4.4.1 Auswertung der Daten.
4.4.2 Aufstellung der verdächtigen Verhalten.
4.5 Durchführung des Versuchs.
4.6 Auswertung der Hypothesen.

5.. Zusammenfassung der Ergebnisse.
5.1 Deskriptive Darstellung der Ergebnisse.
5.1.1 Vorstellung von Kampagne Eins.
5.1.2 Vorstellung von Kampagne Zwei
5.2 Validierung der Hypothese.
5.3 Einordnung der Ergebnisse.
5.4 Bewertung der Auswertungsmethode.
5.5 Probleme der Fraud-Bekämpfung.
5.5.1 Interessen der Akteure.
5.5.2 Sperren von Nutzern.

6.. Fazit und Ausblick.
6.1 Fazit
6.2 Ausblick.

Literaturverzeichnis.

Anhang

A Themenmatrix

B Interviewleitfäden

Abbildungsverzeichnis

Abb. 1: Attraktivität des Hackens gemessen am Gewinn und Aufwand.

Abb. 2: Login zur Athena Botnet

Abb. 3: Benutzeroberfläche des Athena Botnets.

Abb. 4: Create Command zum Aussenden von Befehlen.

Abb. 5: Bots nutzen alte Browser.

Abb. 6: Ausführung von Click Jacking.

Abb. 7: Ad Injection auf amazon.com..

Abb. 8: Ausführung des Betrugs mit einer Parked Domain.

Abb. 9: Firmenlogo von mouseflow.

Abb. 10: Roter Punkt als Beweis für die Interaktion des Nutzers.

Abb. 11: Marktanteile der Browserversionen in Deutschland in Dezember 2016.

Abb. 12: Prozentsatz des von Bots generierten Traffics.

Abb. 13: Werbebanner der Kampagne Eins.

Abb. 14: Textanzeige der Kampagne Eins.

Abb. 15: Werbebanner der Kampagne Zwei

Abb. 16: Anteil der verdächtigen Verhalten von Kampagne Eins.

Abb. 17: Anteil der verdächtigen Verhalten von Kampagne Zwei

Tabellenverzeichnis

Tab. 1: Daten von Kampagne Eins.

Tab. 2: Anzahl der beobachteten verdächtigen Verhalten von Kampagne Eins.

Tab. 3: Daten von Kampagne Zwei

Tab. 4: Anzahl der beobachteten verdächtigen Verhalten von Kampagne Zwei

Tab. 5: Anzahl der ungültigen Klicks.

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abstract

Die vorliegende Arbeit untersucht, mit welchen Methoden Online-Marketing-Fraud entdeckt werden kann und welche Probleme bei der Fraud-Bekämpfung bestehen. Hierzu wird in den theoretischen Grundlagen die Definition und Ausführung der unterschiedlichen Fraud-Methoden erläutert. Die Basis bei der Analyse der Problematik der Fraud-Bekämpfung und der entwickelten Auswertungsmethode sind Experteninterviews und theoretische Grundlagen. Die Auswertungsmethode wird in einem experimentellen Versuch angewandt. Die Ergebnisse bestätigen, dass die Auswertungsmethode erfolgreich ist, aber Schwächen hat. Die unterschiedlichen Interessen der Akteure bei der Bekämpfung wird als Hauptproblem der Fraud-Bekämpfung festgemacht. Das Sperren von Nutzern führt dazu, dass Entdeckungsalgorithmen analysiert und überlistet werden.

1 Einleitung

Im Folgenden werden die Ausgangssituation und die Problemstellung der Arbeit beschrieben. Anschließend werden die Ziele der Arbeit vorgestellt und die Vorgehensweise zur Erreichung dieser Ziele erläutert.

1.1 Ausgangssituation und Problemstellung

Einer Prognose der OVK zufolge werden im Jahre 2016 Unternehmen allein im deutschen Markt 1,7 Milliarden Euro für digitale Display-Werbung ausgeben, was ein Wachstum um 6,3 Prozent zum Vorjahr bedeutet. (vgl. Sausen, 2016). Doch längst kommt nicht jede über das Internet ausgestrahlte Werbung bei Menschen, geschweige denn bei der gewünschten Zielgruppe an.

Eine Studie der Integral Ad Sciences (IAS) im ersten Quartal 2016 kommt zu dem Ergebnis, dass 5,9 % der in Deutschland und 8,3 % der in den USA verzeichneten Ad Impressionen nicht von Menschen, sondern durch automatisierte Computerprogramme, sogenannten Bots (von Englisch robot) verursacht werden (vgl. IAS, 2016a, S. 4). Hierbei ist zu beobachten, dass die ermittelten Zahlen bezüglich Online-Marketing-Fraud bzw. Bots zwischen verschiedenen Studien stark variieren können (vgl. Mahr, 2014). So ermitteln Studien Ergebnisse zwischen 2,8 % (vgl. DCN & White Ops, 2015, S. 6) und 88 % (vgl. Neal, et al., 2015). Ein Grund dafür ist, dass allgemeine Standards und Definitionen von Online-Marketing-Fraud nicht vollständig existieren und Ergebnisse von Studien die Interessen der Akteure widerspiegeln können, die sie durchgeführt haben (vgl. Hedemann, 2016).

Die Auswirkungen von Online-Marketing-Fraud zeigen sich allerdings unverändert deutlich: Werbetreibende verlieren zum einen Geld durch Ausgaben für Werbung, die die gewünschte Zielgruppe nicht erreicht, und zum anderen durch Umsätze, die ihnen entgehen, da die Werbung ihre gewünschte Wirkung nicht erzielt (vgl. Fulgoni, 2016). Eine im Januar 2016 veröffentlichte Studie der Association of National Advertisers (ANA) und White Ops schätzt, dass Fraud 2016 weltweit einen Schaden in Höhe von 7,2 Milliarden US-Dollar verursacht hat (vgl. White Ops & ANA, 2016, S. 6).

Begünstigt wird diese Tatsache dadurch, dass Bots professionell entwickelt werden. Einer Studie zufolge sind 41 % der ermittelten Bots in der Lage menschliches Verhalten nachzuahmen, um nicht als Bots entdeckt zu werden (vgl. distil networks, 2015, S. 9). Daraus resultiert, dass ein Großteil der Schlüsselakteure innerhalb des Online-Marketing-Ökosystems nicht in der Lage ist, die Problematik richtig einzuordnen. 75 % der Publisher und 59 % der Werbetreibenden geben an, nicht zu wissen, wie man Menschen und Bots unterscheiden kann (vgl. Terman, 2015).

Hier knüpft die vorliegende Bachelorarbeit an: Einige werbetreibende Unternehmen verfügen über hohe Budgets und haben entsprechende personelle Kapazitäten, um aktiv Maßnahmen gegen Fraud durchzuführen. Dennoch ist der verursachte Schaden hoch. Somit stellt sich für den Autor die Frage, wie Fraud entdeckt werden kann und welche Gründe dafür vorliegen, dass dies nicht getan wird?

1.2 Ziel der Arbeit

Das konkrete Ziel der Arbeit ist die Untersuchung, mit welchen Möglichkeiten Fraud entdeckt werden kann. Diesbezüglich soll zunächst Online-Marketing-Fraud ausführlich vorgestellt werden. Anhand dieser Vorstellung und Experteninterviews soll eine Methode entwickelt werden, die dem Autor die Entdeckung von Online-Marketing-Fraud ermöglichen soll. Mittels der Experteninterviews soll dargestellt werden, ob bestimmte Verhaltensweisen Fraud auslösen und welche Probleme der Fraud-Bekämpfung existieren. Anschließend sollen diese Ergebnisse verknüpft werden, indem die entwickelte Methode an einem experimentellen Versuch angewandt wird.

1.3 Aufbau und Methodik der Arbeit.

Die Arbeit beginnt mit einer Vorstellung von Online-Marketing-Fraud im Display-Advertising-Umfeld. Obwohl der Begriff Display Advertising auch die Werbung auf mobilen Endgeräten umfasst, würde die Einbeziehung dieser Thematik insbesondere in Bezug auf Applikationen den Rahmen der Arbeit übersteigen, sodass darauf gänzlich verzichtet wird.

Um die Grundlage für ein besseres Verständnis zu schaffen, wird zunächst erläutert, welche Merkmale Online-Marketing-Fraud definiert und welche Faktoren die Entstehung des Problems verursachen oder begünstigen. Anschließend erfolgt eine Vorstellung der Methoden, wie Fraud ausgeübt wird, wobei Bots hier eine Sonderstellung einnehmen und detailliert erläutert werden. Zum Schluss dieses Kapitels wird beschrieben, welche Möglichkeiten der Fraud-Bekämpfung prinzipiell zur Verfügung stehen.

Das nächste Kapitel beschäftigt sich mit der qualitativen Vorstudie, die in Form von Experteninterviews durchgeführt wird. Zu diesem Punkt werden zunächst die Methodik und die Auswertung der Experteninterviews vorgestellt. Das Ziel dieser Vorstudie ist das Erlangen von Erkenntnissen, die zur Hypothesenbildung genutzt werden und zudem die Praxis der Fraud-Bekämpfung näher beschreiben. Somit ist die Vorstellung der Hypothesen das Ergebnis dieser Vorstudie und kann als Vorbereitung auf den quantitativ experimentellen Versuch verstanden werden.

Innerhalb des folgenden Kapitels sollen die zuvor generierten Hypothesen im Hinblick auf eine Fragestellung mittels eines Versuchs validiert werden. Hierbei wird der Versuch nicht in vollem Umfang durchgeführt, sondern ausgetestet, um eine erste Prognose bezüglich der Gültigkeit der Hypothesen und Erfolgsaussichten der Auswertung erstellen zu können. Neben der genauen Durchführung des Versuches wird erläutert, wie die Auswertung abläuft und die Hypothesen validiert werden.

Im darauffolgenden Kapitel werden die Ergebnisse der qualitativen Vorstudie und des Versuchs dargestellt. Mit Bezug darauf werden zunächst die Hypothesen validiert. Anschließend wird der Versuch und die Auswertung beurteilt. Zudem werden die Aussagen der Experten in Bezug auf die Probleme der Fraud-Bekämpfung dargestellt.

Im letzten Kapitel werden die Ergebnisse der Arbeit in einem Fazit präsentiert. Ferner soll mit einem Ausblick die Zukunft der Fraud-Bekämpfung beurteilt werden.

2 Vorstellung Online-Marketing-Fraud

Dieses Kapitel hat den Zweck, die Problematik des Online-Marketing-Fraud vorzustellen und den Kenntnisstand des Lesers zu erweitern. Diese Kenntnisse werden vorausgesetzt, um die qualitative Vorstudie und insbesondere den experimentellen Versuch nachvollziehen zu können. Zudem soll mit der Vorstellung des Online-Marketing-Fraud ein Bewusstsein für den Umfang der Problematik geschaffen werden.

2.1 Definition von Online-Marketing-Fraud

Das Ziel von Online Marketing ist das richtige Ausliefern von Werbeanzeigen an eine bestimmte, vorher festgelegte Gruppe von Menschen. Online-Marketing-Fraud (auch bekannt als Ad Fraud) beschreibt betrügerische Aktivitäten, indem Anzeigen an ein vermeintlich richtiges Publikum geliefert werden, mit dem Ziel, das Ökosystem des Online Marketing auszubeuten (vgl. IAB & EY, 2015, S. 27).

Die Aufstellung einer Definition für Ad Fraud ist mit der Herausforderung verbunden, dass das Spektrum der Methoden sich ständig weiterentwickelt. Erkenntnisse über Fraud, die die Grundlage einer Definition bilden, können bereits nach kurzer Zeit an Bedeutung verlieren, da Täter bereits neue Methoden verwenden (vgl. Friedman, 2016). Eine erste Definition erfolgte im Rahmen einer Studie von White Ops im Dezember 2014, als Werbetreibenden empfohlen wurde, Klauseln bezüglich Ad Fraud in Verträge zu integrieren. Dabei wird Ad Fraud folgendermaßen definiert:

„ […] betrügerischer Traffic umfasst, ohne Einschränkung, die Einbeziehung oder die Wertung von Aufrufen: (i) durch eine natürliche Person, die mit dem Zweck angeheuert wurde entsprechende Anzeigen aufzurufen, sei es ausschließlich oder in Verbindung mit anderen Tätigkeiten dieser Person; (ii) durch non-human Traffic; (iii) Kombinationen von Anzeigen, die durch eine beliebige Kombination von (i) und/oder (ii) durch- oder umgeleitet werden; und, (iv) die für das menschliche Auge nicht sichtbar sind, für die menschlichen Sinne nicht erkennbar sind oder von einem menschlichen Wesen nicht wahrgenommen werden “ (eigene Übersetzung aus ANA & White Ops, 2014, S. 57).

Ein signifikanter Anteil von diesen Aktivitäten wird mit Hilfe von Bots ausgeführt und ist unter dem Namen non-human Traffic bekannt. Darunter sind Browser, Server oder Applikationen zu verstehen, die eine Webseite besuchen und sich nicht als Bot zu erkennen geben (vgl. JICWEBS, 2015b, S. 4). Gemäß der Verkörperung ihrer Rolle sind die Maschinen in der Lage, genau wie Menschen, alle digitalen Medien wahrzunehmen, inklusive Videos zu schauen, Werbung zu sehen oder anzuklicken (vgl. ANA & White Ops, 2014, S. 52). Fälschlicherweise wird die Definition von Ad Fraud häufig mit non-human Traffic gleichgesetzt. Obwohl Non-human Traffic einen bedeutsamen Anteil von Fraud ausmacht, existieren weitere Methoden (vgl. Vidakovic, 2015a), die innerhalb dieser Bachelorarbeit erläutert werden.

Eine weitere, ausführlichere Definition existiert seit Oktober 2015, die vom Media Rating Council in Zusammenarbeit mit der Mobile Marketing Association und Interactive Advertising Bureau aufgestellt wurde. Zussamengefasst unter dem Begriff „Invalid Traffic“ (zu Deutsch: ungültiger Traffic) werden zwei Arten von Ad Fraud unterschieden. „General Invalid Traffic“ beschreibt hierbei Fraud-Methoden, die leichter, z. B. über Blacklists (mehr unter 2.8.2.1), zu entdecken sind. Hierzu gehört unter anderem Traffic, der von Rechenzentren ausgeht. Die zweite Kategorie „Sophisticated Invalid Traffic“ beschreibt Methoden, die zur Entdeckung mehr Aufwand erfordern, da erst durch ausführliche Analysen oder durch menschliches Eingreifen Fraud nachgewiesen werden kann. Hierzu gehören unter anderem Bots, die menschliches Verhalten nachahmen können, Anzeigen, die unter normalen Umständen nicht von Menschen gesehen werden können, Impressionen, die mit betrügerischen Adwares erzeugt werden, und manipulierte oder gefälschte Webseiten (vgl. MRC, 2015a S. 6 f.).

Zusammenfassend lässt sich also sagen, dass Ad-Fraud-Aktivitäten umfasst, die das Ziel haben, Werbetreibenden Klicks und Impressionen in Rechnung zu stellen, die nicht vom gewünschten Publikum erzeugt, sondern von Bots oder durch andere Methoden zustande gekommen sind. Somit gibt es zwei Hauptkategorien an Fraud, die im Folgenden erläutert werden.

2.1.1 Impression Fraud

Der Begriff Impression beschreibt die einzelne Auslieferung einer bestimmten Online Marketing Anzeige innerhalb eines bestimmten Online-Marketing-Inventars. Mit dem Zweck, die Impressionen den Werbetreibenden oder jeweiligen Agenturen in Rechnung zu stellen, werden die ausgelieferten Impressionen von Ad-Servern im Rahmen der Auslieferung der Werbung aufgezeichnet und stellen somit die Grundeinheit des ökologischen Systems des Online Marketings dar (vgl. ANA & White Ops, 2016, S. 42).

Impression Fraud ist die Erzeugung von Impressionen, ohne eine inhaltlich begründete Klickabsicht auf die Anzeige zu haben (vgl. Geddes, et al., 2015, S. 29 f.). Ziel ist die betrügerische Absicht legitime Anzeigenauslieferungen oder Messprozesse zu manipulieren oder fiktive Aktivitäten zu erzeugen, die zu einer Steigerung der Impressionen führt (vgl. MRC, 2015b, S. 3).

2.1.2 Click Fraud

Online Marketing in Begleitung mit dem Pay-per-Click-Modell^[1], basiert auf die Annahme, dass Nutzer, die auf eine Werbeanzeige klicken, Interesse an der Webseite haben, für die auf der Anzeige geworben wird. Daraus resultiert eine Zahlungsabsicht von Werbetreibenden für diese Klicks (vgl. Zhang, et al., 2011, S. 2).

Click Fraud (zu Deutsch: Klickbetrug) ist das Anklicken von Werbeanzeigen, um eine Kauf- oder Informationsabsicht zu simulieren. Die Klicks können manuell oder automatisiert durchgeführt werden und dienen dazu, die aufgezeichnete Anzahl der Klicks zu steigern (vgl. Springer Fachmedien Wiesbaden (Hrsg.), 2013, Sp. 24). Die Motivation Klickbetrug zu begehen ist demnach das Auslösen von Zahlungen für diese Klicks und ist profitorientiert (vgl. Zhang, et al., 2011, S. 2). Die Zahlungen erhöhen in erster Linie die Werbekosten der Werbetreibenden und die Einnahmen der Publisher (vgl. AdSense Help, o. J.).

2.2 Ursachen, Motive und Gründe von Fraud

Die Untersuchung einer Problematik, muss stets im Hinblick auf die Frage erläutert werden, welche Faktoren für die Existenz eines Problems verantwortlich sind. Im Folgenden werden vier Faktoren vorgestellt.

2.2.1 Die Rolle von Werbetreibenden

Werbetreibende (auch Advertiser) ist ein Ausdruck für Unternehmen, Marken oder eine individuelle Person, die eine Drittpartei dafür bezahlt, Werbung auszuspielen (vgl. ANA & White Ops, 2016, S. 41). Ein Grund für Fraud liegt vor, wenn das Gleichgewicht zwischen Nachfrage und Angebot nicht mehr stimmt. Während die Ausgaben von Werbetreibenden steigen, ist das geforderte Publikum nicht im selben Umfang vorhanden. So erhöhen sich Ausgaben für Video-Werbeanzeigen, obwohl die Größe des Publikums, das sich Video-Werbeanzeigen anschaut, nicht im selben Umfang steigt. Täter nutzen diesen Umstand aus und kompensieren fehlendes Publikum mit Bots oder anderen betrügerischen Mitteln (vgl. Bürgi, 2016). Ein weiterer Grund für Ad Fraud kann im eingekauften Werbeumfeld liegen. Insbesondere ein niedriger Preis kann ein Indiz auf Fraud sein. Folglich wird Werbetreibenden geraten nur auf preislich höheres Inventar und somit auf Premium-Publisher zu setzen (vgl. Schasche, 2016, S. 30). Auffällig ist, dass die Definition für Premium-Publisher häufig unterschiedlich ausgelegt wird. Während einige Unternehmen darunter Publisher verstehen, die auf der Alexa Rank^[2] Liste unter den ersten 1000 sind, zählen andere Publisher, die ihnen namentlich bekannt sind, bereits als Premium (vgl. Moses, 2015).

Entgegen den bisherigen Ausführungen, gibt es eine Fraud-Methode, mit der Werbetreibende aktiv an der Ausführung beteiligt sind und somit die Täterrolle übernehmen. Hierbei klicken Werbetreibende auf die Anzeigen ihrer Konkurrenten. Somit werden den Konkurrenten zum einen erhöhte Werbekosten in Rechnung gestellt und zum anderen wird das festgelegte Tagesbudget ausgeschöpft, sodass die Anzeige bald für interessierte Nutzer nicht mehr zu sehen sein wird (vgl. Vratonjic, et al., 2012, S. 25).

2.2.2 Die Rolle von Publisher

Unter dem Begriff Publisher ist der Betreiber einer Webseite zu verstehen, der Werbeflächen auf seiner Seite gegen Entgelt zur Verfügung stellt (vgl. ANA & White Ops, 2016, S. 42). Anhand der Anzahl der Impressionen und Klicks per Werbeanzeige, die von den Besuchern der Webseite generiert werden, erhält der Publisher eine finanzielle Gegenleistung. Aus diesem Grund stehen Publisher häufig im Verdacht, die Anzahl von Klicks und Impression künstlich zu erhöhen, um Werbetreibenden Kosten in Rechnung zu stellen und sich daran zu bereichern (vgl. Vratonjic, et al., 2012, S. 25).

Eine andere Möglichkeit wie Fraud auf der Publisher-Ebene ins Ökosystem gelangen kann, ist, wenn Publisher Traffic von Drittseiten kaufen. Wie in 2.2.1 erwähnt, kann die Nachfrage das Angebot übersteigen und Publisher können Verträge bezüglich der Lieferung von entsprechendem Publikum eingehen, dem nicht im vollen Umfang entsprochen werden kann. Hierbei besteht also die Möglichkeit die geforderte Anzahl an Besuchern nicht zu liefern und weniger zu verdienen oder Traffic von Drittseiten zu kaufen, um die geforderte Leistung noch zu erfüllen (vgl. ANA & White Ops, 2016, S. 11). Demnach ist das Ziel Profit zu generieren, indem Traffic günstig eingekauft und mehr Geld verdient wird durch Impressionen und Klicks, die dieser eingekaufte Traffic generiert. Erwähnenswert ist, dass das Kaufen von Traffic nicht gleichzusetzen ist mit dem Kaufen von Bots und keineswegs illegal ist (vgl. Elgin, et al., 2015).

Häufig werden im Zuge solcher Kaufaktionen Webseiten kontaktiert, die ebenfalls Traffic von anderen Drittseiten kaufen. So wandert das vom Werbetreibenden ausgezahlte Geld von einem Publisher zum nächsten und innerhalb dieser Kette gibt es einen Täter, der einen Botnet betreibt (mehr zu in 3.4) (vgl. Wright, 2016). Das heißt, obwohl die ursprüngliche Absicht des Publishers nicht Fraud war, werden im Zuge einer undurchsichtigen Infrastruktur Bots auf die Seite gelockt, die kein echtes Interesse an der Werbeanzeige haben können (vgl. IAB & EY, 2015, S. 29). Diese Publisher handeln profitorientiert, wonach Traffic günstig eingekauft wird, ohne der Gefahr durch Bots die nötige Beachtung zu schenken (vgl. Heine, 2016).

2.2.3 Strukturen des Online-Marketing-Ökosystems

Das Online Ökosystem des Display Advertising ist insbesondere seit dem Einzug des programmatischen Einkaufs offen für alle Werbetreibende bzw. Publisher. Sogleich diese Möglichkeit am Markt teilzunehmen für alle Beteiligten inklusive der Nutzer Vorteile mit sich bringt, werden neue Möglichkeiten für Betrüger geschaffen. Da der Markteinritt unkomplizierter ist, kann prinzipiell jeder Marktteilnehmer Werbeflächen kaufen oder verkaufen (vgl. Vidakovic, 2015b).

Diese Tatsache führt dazu, dass das Kaufen und Verkaufen von Werbeflächen häufig über vermittelnde Drittparteien wie Ad Networks^[3] (zu Deutsch: Werbenetzwerk) oder Ad Exchanges^[4] ausgeführt werden, bei denen Werbetreibende, nicht mehr genau wissen, wer die Publisher sind. Damit geht einher, dass Werbetreibende keinen Einblick in die Geschäftspraxis dieser Publisher haben und somit nicht wissen, wie Impressionen ausgeliefert und gemessen werden oder woher die Daten für die Nutzer stammen (vgl. conversant, 2016). In vielen Fällen kennen auch die Werbenetzwerke und Ad Exchanges die Publisher-Seite nur durch eine E-Mail-Adresse. Geschäftsbeziehungen, in denen Geschäftspartner hohe Summen verdienen, werden durchgeführt, ohne, dass einzelne Personen von Publisher-Seite bekannt sind (vgl. Kotila, et al., 2016, S. 15).

Diese Punkte bekräftigen die Annahme, dass das Bestehen und die Ausübung von Fraud durch die vorherrschenden Strukturen des Marktes begünstigt werden. Eine Studie des World Federation of Advertisers stellt fest, dass 92 % aller befragten Werbetreibenden dieser Annahme zustimmen (vgl. Kotila, et al., 2016, S. 7).

2.2.4 Gewinnmöglichkeiten von Betrügern

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Attraktivität des Hackens gemessen am Gewinn und Aufwand

(Selbsterstellte Grafik in Anlehnung an Hewlett Packard, 2016, S. 4).

Eine Studie von Hewlett Packard vom Mai 2016 kommt zu dem Ergebnis, dass Ad Fraud, mit sehr wenigem Risiko und Aufwand das größte Auszahlungspotenzial für Cyberkriminelle bietet (Hewlett Packard, 2016, S. 4). Bestätigt wird diese Studie vom jüngsten Fall von White Ops, der im Dezember 2016 aufgedeckt wurde. Eine Gruppe von russischen Betrügern erzielte mit gefälschten Webseiten und Botnets, die aus Rechenzentren in den USA und Niederlande operierten, drei bis fünf Millionen US-Dollar pro Tag. Hierzu fälschten die Betrüger mehr als 6000 bekannte Webseiten auf denen Bots bis zu 300 Millionen legitime Video-Werbeanzeigen pro Tag aufriefen (vgl. White Ops, 2016, S. 3). Da sich Russland bei der Untersuchung solcher Fälle in der Vergangenheit nicht kooperativ gezeigt hat, wird davon ausgegangen, dass die Werbetreibenden nicht entschädigt und die Täter nicht gefasst werden (vgl. Fox-Brewster, 2016).

Eine ernste Gefahr besteht auch deshalb, weil hohe Gewinnmöglichkeiten mit geringem Risiko erwischt zu werden die Aufmerksamkeit von anderen Kriminellen auf Ad Fraud ziehen kann. Deshalb werden zum einen neue Täter mit hohen Gewinnen angelockt und zum anderen können Täter durch die erzielten Gewinne weiter aufrüsten und komplexere Methoden entwickeln (vgl. Kotila, et al., 2016, S. 6). Die Täter im Methbot-Fall haben über 850.000 IP-Adressen angemeldet, um Bots legitimen ISPs zuzuordnen. Die Kosten für diesen Schritt werden auf vier Millionen Dollar geschätzt (vgl. White Ops, 2016, S. 12).

2.3 Definition von Bots

Unter dem Begriff Bot sind Rechner oder Softwareprogramme zu verstehen, die eigenständig in der Lage sind Webseiten zu besuchen und vorher festgelegte Aufgaben zu erfüllen. Dabei gibt es eine Unterscheidung zwischen sogenannten Good Bots und Bad Bots. Während Good Bots sich als solche zu erkennen geben, stehen hinter den Bad Bots kriminelle Absichten und die Bots agieren gegen die anderen Teilnehmer des Ökosystems (vgl. Shaw, et al., 2014, S. 2). Als Beispiel für Good Bots werden Spider bzw. Crawler genannt. Hierbei handelt es sich um Bots, die im Auftrag von Suchmaschinen Webseiten durchsuchen. Im Zuge dieser Besuche werden Webseiten analysiert und nach Suchkriterien in einer Datenbank gespeichert, um bei Suchanfragen, die bestmöglichen Ergebnisse zu liefern (Springer Fachmedien Wiesbaden (Hrsg.), 2013, Sp. 161).

Bad Bots können kompromittierte Rechner sein, bei denen Täter erfolgreich Malware installieren konnten. Zu diesem Zeitpunkt kann der Rechner von einer Drittperson ferngesteuert und für kriminelle Aktivitäten, wie Fraud, verwendet werden, ohne dass der Besitzer des Rechners dies bemerkt (vgl. Kappes, 2013, S. 96). Daneben gibt es Bots, die von Rechenzentren stammen und auf virtuellen Maschinen laufen. Somit stehen diese Bots nicht in einer Interaktion mit echten Nutzern oder ihren Geräten (vgl. TAG, 2015). Die Kategorisierung von Bad Bots orientiert sich an der Komplexität der Bots. Simple Bots sind nicht in der Lage menschliches Verhaltensmuster nachzuahmen oder JavaScript zu laden, weshalb diese am leichtesten zu entdecken sind. Die nächste Stufe stellen evasive Bots dar, die in der Lage sind in einem gewissen Rahmen ihre Aktivitäten zu verschleiern. So können IP-Adressen oder User Agents geändert werden. Die nächste Stufe sind advanced oder sophisticated Bots. Diese Bots erfordern den höchsten Aufwand, um entdeckt zu werden, da sie menschliches Verhalten nachahmen, JavaScript laden und weitere, für menschliche Besucher typische Aktionen durchführen können (vgl. distil networks, 2016, S. 12).

2.4 Vorstellung Botnet und Funktionsweise

Das Können und die verfügbaren Ressourcen eines Täters entscheiden darüber, ob ein einzelner Rechner eine Ad-Fraud-Attacke begeht oder ein automatisiertes System, in Verbindung mit mehreren Rechnern, verwendet wird, um eine Attacke in größerem Umfang durchzuführen. Botnets sind ein Mittel, um gezielte Attacken im Internet zu verwirklichen und werden häufig verwendet, um Ad Fraud durchzuführen (vgl. Vratonjic, et al., 2012, S. 24).

2.4.1 Beschreibung von Botnet

Ein Botnet ist ein Netzwerk, das aus infizierten Rechnern besteht, die von Tätern ferngesteuert werden, um Aufträge in böser Absicht zu erfüllen. Der Täter, der die Kontrolle über ein Botnet hat ist bekannt als der Bot-Master. Durch einen C&C Server (Command and Control) hat der Täter die Möglichkeit Befehle an die infizierten Rechner zu übermitteln, sodass ein Botnet ohne einen C&C Server nur die lose Sammlung von infizierten Rechnern ist. Aus diesem Grund ist Kontrollierbarkeit eine der elementarsten Charakteristika eines Botnets (vgl. Elisan, et al., 2012, S. 56 f.). Zudem besteht die Aufgabe eines Bot-Masters darin, das Botnet stets mit neuen infizierten Rechnern zu versorgen, da Bots nach einer gewissen Zeit als solche entdeckt und innerhalb von Blacklists (mehr unter 2.8.2.1) markiert werden. Demnach ist ein Botnet besonders effektiv, wenn die Rate an frisch infizierten Rechnern, die Rate an entdeckten Rechnern übersteigt (vgl. Wright, 2016).

2.4.2 Infizierung von Rechnern

Die Infizierung von Rechnern erfolgt mithilfe von Malware (die allgemeine Abkürzung für Malicious Software (zu Deutsch: Schadsoftware)). Eine Malware ist eine Software, die mit der Absicht programmiert wurde, Rechner mit Viren, Würmer, Trojaner oder Spyware zu befallen (vgl. Willems, 2015, S. 1). Dabei nutzen Hacker zahlreiche Möglichkeiten Rechner mit Malware zu infizieren wie z. B. das Verbreiten von Malware über Erotikangebote. Zudem werden E-Mails mit Malware im Anhang verschickt oder mit Links, die beim Anklicken, die Empfänger auf Webseiten mit Malware weiterleiten. Eine andere Möglichkeit, Malware zu verbreiten, ist die Bereitstellung von Spielen oder Programmen in Tauschbörsen (vgl. Willems, 2015, S. 34). Dabei werden Software und Spiele mit Malware gebündelt, die sich ebenfalls mitinstalliert (vgl. JICWEBS, 2015a, S. 3).

Die am häufigsten genutzte Form Malware zu verbreiten nennt sich Drive-by-Download (zu Deutsch: Herunterladen im Vorbeifahren). Dieser Begriff beschreibt eine Aktivität, bei der das Öffnen einer mit Schadsoftware infizierten oder dafür präparierten Webseite dazu führt, dass im Hintergrund Malware installiert wird (vgl. Schafroth, 2013). Dabei werden sowohl Sicherheitslücken im Browser (vgl. Springer Fachmedien Wiesbaden (Hrsg.), 2013, Sp. 113 f.) als auch im Betriebssystem ausgenutzt (vgl. Kappes, 2013, S. 96).

Eine weitere besondere Form nennt sich Malvertising und steht für Malicious Advertising (zu Deutsch: böswillige Werbung). Um Rechner erfolgreich zu infizieren, werden auf legitimen Publisher-Webseiten Werbeanzeigen platziert, die Malware beinhalten. Hierbei ist es schwer eine legitime Werbeanzeige von einer betrügerischen zu unterscheiden, da der Code für die Malware innerhalb der Werbeanzeige versteckt ist. Sobald ein Nutzer auf die Anzeige klickt, wird der Computer mit Malware infiziert (vgl. Kovacs, 2015). In der Regel werden die Werbeanzeigen nicht von den Betreibern der Webseiten präpariert, sondern von anderen Personen (vgl. Mimoso, 2014).

Das erfolgreiche Ergebnis einer Attacke ist eine Malware, die auf dem Rechner installiert wird und den Rechner zum Bestandteil eines Botnets macht, das gesteuert werden kann (vgl. Willems, 2015, S. 32).

2.4.3 Steuerung eines Botnets

Zur Steuerung eines Botnets nutzt der Bot-Master eine Webschnittstelle als Benutzeroberfläche und loggt sich, ähnlich wie auf normalen Webseiten, mit Benutzername und Passwort ein (vgl. Willems, 2015, S. 40). Zur Veranschaulichung nutzt der Autor Screenshots des Athena Botnets. Der Quellcode dieses Botnets wurde in September 2013 veröffentlicht, sodass die Software inzwischen frei zugänglich ist (vgl. Springborn, 2014).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Login zur Athena Botnet

(Übernommene Grafik, Quelle: Springborn, 2014).

Nach dem erfolgreichen Einloggen steht dem Bot-Master die Administrationsseite zur Verfügung. Auf dieser Administrationsseite hat der Bot-Master die Möglichkeit Echtzeit-Statistiken einzuholen, die Information bezüglich dem Status der infizierten Rechner geben können (Abbildung 3) (vgl. Willems, 2015, S. 40).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Benutzeroberfläche des Athena Botnets

(Übernommene Grafik, Quelle: o.V., 2014).

Die Seite “Create Command“ (Abbildung 4) wird genutzt, um Befehle an infizierte Rechner aussenden zu können. Jeder Befehl setzt einige Parameter voraus, um erfolgreich ausgeführt zu werden. Darüber hinaus gibt es einen Filter (Abbildung 3), um festzulegen, welche Bots, mit welchen Eigenschaften die Befehle ausführen sollen. Wie in Abbildung 4 dargestellt kann ein Befehl z. B. Hidden View und die eingegebene URL sein. Mit diesem Befehl werden Webseiten aufgerufen, ohne, dass der eigentliche Benutzer des Rechners davon in Kenntnis gesetzt wird (vgl. Springborn, 2014).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Create Command zum Aussenden von Befehlen

(Übernommene Grafik, Quelle: Springborn, 2014).

2.5 Das Verhalten von Bots

Das Hauptmerkmal von Bots, um Einnahmen zu generieren, ist das Nachahmen von menschlichem Verhalten beim Besuchen einer Webseite. Klicks und Impressionen dürfen von dem eines menschlichen Nutzers nicht zu unterscheiden sein. Nur so kann der Fluss von Werbegeldern aufrechterhalten werden und Betrüger ihre Einnahmen erzielen (vgl. Vratonjic, et al., 2012, S. 27).

Der Besuch einer Webseite beinhaltet stets eine Mausbewegung des Besuchers. Deshalb nutzen viele Webseitenbetreiber verschiedene Techniken, um die Mausbewegung eines Besuchers zu überprüfen, und bewerten diesen als ein Indiz für ein nicht-betrügerisches Verhalten. Allerdings sind sophisticated Bots in der Lage Mausbewegungen zu simulieren. Bewegungen können zufällig in eine der vier Himmelsrichtung oder zwischen zwei gesetzten Punkten erfolgen (vgl. Schiff, 2015).

Wenn ein Bot sich Zugang in den Rechner eines Nutzers verschafft, können das Surfverhalten kopiert und Cookies^[5] eingesammelt werden. Diese Cookies werden anschließend genutzt, um von Retargeting-Maßnahmen erreicht werden zu können (Hedemann, 2016). Retargeting ist eine Maßnahme, die Anzeigen für Nutzer schaltet, die in irgendeiner Form ihr Interesse am Produkt bekundet haben. Bots nutzen diese Cookies, um die in der Regel höheren Ausgaben für Retargeting auszuschöpfen (vgl. ANA & White Ops, 2016, S. 22). Zusätzlich können die Cookies dazu verwendet werden, um Mitglied einer bestimmten demografischen Gruppe zu sein (vgl. ANA & White Ops, 2016, S. 17). Um einer Entdeckung durch die Analyse der IP-Adressen zu entgehen, können Bots verschiedene Maßnahmen ausführen. Zum einen werden IP-Adressen gewechselt und zum anderen Tor-Netzwerke^[6] genutzt, um die Herkunft zu verschleiern. Ein Bot kann 1000 verschiedene IP-Adressen verwenden, um eine Attacke auszuführen, anstatt von einer IP-Adresse 1000 Attacken auszuführen (vgl. distil networks, 2016, S. 4).

Die Sichtbarkeit von Werbeanzeigen, also, ob die Werbeanzeige tatsächlich gesehen werden konnte, kann ebenfalls von Bots nachgeahmt werden, da Bots Browser verwenden und standardmäßig Sichtbarkeit simulieren können (vgl. ANA & White Ops, 2014, S. 30). Laut einer Studie von White Ops konnten im Durchschnitt 47 % der Werbeanzeigen von Menschen gesehen werden, während dieser Wert bei Bots mit 43 % ungefähr gleich hoch ist (vgl. ANA & White Ops, 2016, S. 24).

2.5.1 Browser

Ein User Agent, der beim Besuchen einer Webseite übermittelt wird, dient dazu festzustellen, welches Betriebssystem und Browser ein Webseitenbesucher verwendet. Diese Information wird genutzt, um die Inhalte einer Webseite korrekt auf dem Bildschirm des Besuchers wiederzugeben (vgl. Zhang, et al., 2011, S. 6). Bots, die eine Entdeckung vermeiden möchten, können ihren User Agent wechseln und geben bei Menschen beliebte Browser an. Einer Studie der distil networks zufolge, gaben 26,90% der Bots Google Chrome und 17,67 % Firefox als Browser an. Somit sind Bots in der Lage menschlichen Trends zu folgen (vgl. distil networks, 2016, S. 7).

Nutzer, die keine oder fehlerhafte Angaben über ihre Browser machen, können als Bot enttarnt werden. Um dies zu vermeiden und seriöse Browserangaben zu machen, werden Headless Browser genutzt (vgl. distil networks, 2015, S. 9). Hierbei handelt es sich um Tools wie PhantomJS, die zum Testen von Webseiten verwendet werden. Diese Tools können Webseiten aufrufen, haben aber keine grafische Oberfläche und können durch eigene Codes gesteuert werden (Herrmann, 2016, S. 172 f.).

Ungewöhnliche Angaben bei den Browserversionen können ebenfalls ein Indiz auf Bots sein. Einige Browserversionen sind beliebt, da Täter die darin befindlichen Sicherheitslücken ausnutzen und Rechner mit Malware infizieren (vgl. Hedemann, 2016, S. 16). Die Studie von White Ops kommt zu dem Ergebnis, dass je älter ein Browser ist, desto höher die damit verbundenen Bot-Werte sind (vgl. ANA & White Ops, 2014, S. 40).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Bots nutzen alte Browser.

(Selbsterstellte Grafik in Anlehnung an ANA & White Ops, 2014, S. 40).

2.5.2 Zeitliches Verhalten

Aufgrund des natürlichen Tagesrhythmus ist die Anzahl der Internetnutzer tagsüber höher als nachts. Entsprechend werden Werbeanzeigen nachts seltener gesehen und angeklickt. Da diese Regel für Besitzer infizierter Rechner ebenfalls gültig ist, sind Bots zwangsläufig tagsüber aktiver als nachts und passen sich unwissend menschlichen Verhaltensmustern an. Dennoch können Bot-Master die zeitliche Intensität der Aktivitäten eines Bots steuern. Bots machen nachts einen größeren Anteil der generierten Impressionen aus, als tagsüber. Eine Ähnlichkeit lässt sich auch zu den Aktivitäten am Wochenende beobachten. Bots sind in der Woche aktiver als am Wochenende, machen aber am Wochenende einen größeren Anteil des Traffics aus (vgl. ANA & White Ops, 2016, S. 19 f.).

Ein anderes Verhaltensmuster von Bots zielt auf die Sitzungsdauer und die Anzahl der besuchten Seiten während dieser Sitzung ab. Unabhängig davon, ob ein Besucher ein Bot oder ein Mensch ist, kann ein Besuch, der nur wenige Sekunden dauert und auf einer Seite stattfindet, nicht die gewünschten Resultate eines Werbetreibenden erzielen. Mit diesem Ansatz konnten Bots lange Zeit problemlos entdeckt werden. Während der durchschnittliche Wert der besuchten Seiten bei mindestens 1,1 und höher liegt, konnte Traffic von bestimmten Referrern^[7], bei den dieser Wert bei 1,0 liegt, als Fraud erkannt werden. Inzwischen sind Bots in der Lage während einer Sitzung mehrere Seiten aufzurufen und Zeit auf dieser Seite zu verbringen. Dennoch ist die verbrachte Zeit in der Regel niedriger als bei Menschen, da Bots bzw. Bot-Master profitorientiert sind und infolge eines Besuchs weitere Webseiten besucht werden (vgl. Puentes, 2015).

2.6 Fraud durch Bots

Ein Täter, der Ad Fraud mit Bots ausführen möchte, kann entweder die eigene Infrastruktur nutzen oder ein Botnet mieten (vgl. Vratonjic, et al., 2012, S. 24). Dafür verlangen Hacker ca. 200 US-Dollar für 2000 Bots. Erwähnenswert ist, dass Botnets selten im Darknet^[8] verkauft werden, weil das Verkaufen für Hacker weniger profitabel ist (vgl. Trend Micro Incorporated, 2012, S. 12). Eine weitere Art, wie Betrüger Einnahmen durch Bots erzielen können, ist das Verkaufen von Traffic, der aus Bots besteht. Das Besondere an dieser Methode ist die Tatsache, dass die Täter mit dem eigentlichen Betrug nicht konfrontiert werden können. Bot-Master können bereits Zahlungseingänge verbuchen, ohne dass die verkauften Bots Werbeanzeigen gesehen haben müssen (vgl. Heine, 2016).

Die nächste Methode, wie Bots für Fraud verwendet werden, sieht folgendermaßen aus: Betrüger bauen Webseiten auf, die nicht aktiv betrieben werden und auf denen nichts publiziert wird. Anschließend werden große Anzahl an Bots auf die Seite weitergeleitet, um ein künstliches Publikum zu erzeugen, das sich vermeintlich für den Inhalt der Seite interessiert. Im nächsten Schritt werden Ad Exchanges kontaktiert, bei denen eine unachtsame Kontrolle der Webseite ausreicht, um als Publisher akzeptiert zu werden. Infolgedessen werden Werbeanzeigen auf einer Seite geschaltet, die nur von Bots gesehen oder angeklickt werden. Wenn die Methode erfolgreich ist, erzielen Betrüger über mehrere Wochen oder Monate Einnahmen. Bei Bekanntwerden der Methode wird die Methode mit neuen Seiten wiederholt (vgl. Heine, 2016). Die Seiten nutzen verschiedene Techniken, um einer Entdeckung durch Dritte zu entgehen. Die IP-Adressen der Besucher werden auf die Referrer geprüft. Sollte der Besucher durch Google weitergeleitet worden sein, landet er nicht auf der gefälschten Seite, sondern auf einer anderen legitimen Seite mit Inhalt. Eine direkte Eingabe der URL führt dazu, dass keine Werbeanzeigen ausgespielt werden (vgl. Nolet, 2015).

Zusammenfassend gibt es bei Fraud durch Bots fünf Parteien, die einzeln oder kombiniert mitverdienen und diesen ausführen:

1. Hacker, die Bots bzw. Botnets kontrollieren und den Zugang zur Steuerung dieser Bots an Dritte gegen Geld gewähren.

2. Die Mieter solcher Bots, die Werbetreibenden Geld ausschöpfen durch Non-human Traffic.

3. Verkäufer von Traffic, wobei die Besucher nur aus Bots bestehen.

4. Webseitenbetreiber, die die Anzahl ihrer Besucher auf der Webseite, wissentlich oder unwissentlich mit Bots, erhöhen möchten.

5. Agenturen, die im Auftrag von Werbetreibenden Kampagnen ausführen (vgl. Heine, 2016).

2.7 Fraud durch Menschen

Entdeckungsmaßnahmen, die auf Bots spezialisiert sind, können zwar Bots von Menschen unterscheiden, aber betrügerische Impressionen und Klicks, die von Menschen erzeugt werden, würden nicht unter diesem Raster fallen. Folglich ist Fraud durch Menschen schwieriger zu blocken, zu filtern oder überhaupt zu erkennen (vgl. DCN & White Ops, 2015, S. 24).

Unter Fraud durch Menschen werden im Folgenden Methoden vorgestellt, bei denen Impressionen und Klicks von Menschen stammen, diese aber entweder nicht bewusst getätigt wurden, durch betrügerische Aktivitäten getätigt wurden oder die Werbeanzeige für die Menschen nicht wahrzunehmen ist.

2.7.1 Unsichtbare Anzeigen

Hierbei handelt es sich um Werbeanzeigen, die entweder eine Größe von 1x1 Pixel haben, durchsichtig sind oder übereinandergestellt werden (vgl. Wilpers, 2016). Zumindest bei der letztgenannten Methode ist die oberste Werbeanzeige zwar sichtbar, doch gilt für die darunterliegenden und die anderen Methoden, dass die Werbung durch das menschliche Auge nicht wahrgenommen werden kann.

Somit konnte die technische Auslieferung korrekt stattfinden und fälschlicherweise Impressionen generiert werden. Bei Werbeanzeigen innerhalb von Videos sind solche Fraud-Methoden ebenfalls anzutreffen. Hierbei können Werbemittel lautlos im Hintergrund abgespielt werden, obwohl kein Bild zu sehen ist (vgl. Wadhawan, 2016).

2.7.2 Click Jacking

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Ausführung von Click Jacking

(Übernommene Grafik, Quelle: Ferrate, 2016).

Click Jacking (Clicking und Hijacking) findet statt, wenn ein Angreifer unsichtbare übereinanderliegende Webseitenoberflächen nutzt. Somit werden Klicks auf Buttons und Links nicht nur auf der sichtbaren Seite verwertet, sondern lösen auch auf einer unsichtbaren, darunterliegenden Seite Aktionen aus. Folglich dienen diese Klicks nicht nur der ursprünglichen Intention des Nutzers, sondern anderen, vom Angreifer festgelegten Zwecken (vgl. Norton, 2016).

Als Beispiel kann ein User das Ziel haben ein Video abzuspielen. Ein Klick, um diese Aktion auszuführen, kann aber in Wirklichkeit auf Werbeanzeigen erfolgen, die der User nicht sieht (vgl. Ferrate, 2016).

2.7.3 Ad Injection und Adware

Ad Injection beschreibt Aktivitäten, die ohne die Zustimmung des Nutzers oder des Inhabers der Seite, den Inhalt einer Webseite so verändert, dass Werbeanzeigen hinzugefügt oder ausgewechselt werden. Die Ausführung von Ad Injection geschieht unter Zuhilfenahme von Adwares oder Browsererweiterungen. Erwähnenswert ist, dass Tools zur Entfernung von Werbeanzeigen (Ad Blocker) nicht dazu gezählt werden (vgl. Thomas, et al., 2015, S. 1).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Ad Injection auf amazon.com

(Übernommene Grafik, Quelle: Thomas, 2015).

Ad Injection wechselt Werbeanzeigen auf Publisher-Seiten aus, sodass statt der eigentlichen Werbung, die der Publisher eingebunden hatte, andere Werbeanzeigen zusehen sind. Eine andere Form von Ad Injection führt dazu, dass Flächen auf Seiten, auf denen keine Werbeanzeigen zur Verfügung stehen, dennoch mit Werbung bespielt werden. Das Ergebnis von Ad Injection ist stets die Tatsache, dass der Publisher keine Einnahmen erzielen kann, da seine Werbung nicht gesehen oder angeklickt werden konnte. Zudem können Werbetreibende getäuscht werden, wenn für Premium-Publisher-Seiten Ausgaben getätigt werden, die Nutzer aber in Wirklichkeit von einem Tool weitergeleitet worden sind und sich nur zufällig auf der Premium-Publisher-Seite befanden (vgl. Lux, 2015).

Eine Adware ist ein Tool, das dazu konzipiert wurde, Werbung auf dem System eines Users auszuspielen. Das Tool wird in einigen Fällen mit einer legitimen Software gebündelt und soll durch Werbeanzeigen zusätzliche Einnahmen für Entwickler generieren. Sollte hinter der Entwicklung eine betrügerische Absicht stecken, die Software etwa als Spyware dienen, kann das Verhalten eines Nutzers ausspioniert und mit Ad Injection speziell auf die Nutzer zugeschnittene Werbung geschaltet werden (vgl. Oriyano, 2014, S. 274). Eine Adware kann direkt zur Ausführung von Impression Fraud genutzt werden. Hierzu öffnet die Adware einen Pop-Under^[9], der eine Video-Werbeanzeige abspielt. Sobald der Nutzer diesen Pop-Under schließt, wird die Adware aktiv und spielt weitere Videos ab. Die Lautstärke der Videos werden im Hintergrund auf null gesetzt, sodass der Nutzer die Aktivitäten nicht mitbekommen kann (vgl. ANA & White Ops, 2014, S. 24).

Zur Verbreitung solcher Tools gibt es Affiliates, die durch Marketingaktionen oder Softwarebündelungen, das Ad-Injection-Tool weiterverbreiten. Die Affiliates verdienen bei jeder Installation mit, da eine Provision ausgeschüttet wird. Laut Google gibt es mehr als 50.000 Browsererweiterungen und 34.000 Tools, die zur Ad-Injections-Zwecken verwendet werden. Zur Einblendung von Werbung gibt es Unternehmen, die sogenannte Injection-Bibliotheken zur Verfügung stellen. Diese Unternehmen schließen Verträge mit Werbenetzwerke ab und entscheiden, welche Werbeanzeige ein Nutzer zu sehen bekommt (vgl. Thomas, 2015).

[...]

---

^[1] Ein Preismodell, bei der ein Werbetreibender erst zahlt, wenn ein Klick auf das Werbemittel erfolgt ist (vgl. IronShark, n.d).

^[2] Eine Liste, bei der Webseiten anhand ihrer Besucherzahl bewertet werden. Ein Platz in den ersten oberen Plätzen deutet auf eine hohe Popularität der Webseite (vgl. OnPageWiki, n.d).

^[3] Zusammenschluss von mehreren Publisher-Webseiten auf denen ein Werbetreibender Anzeigen schalten kann (vgl. Inztitut, o. J.).

^[4] Eine Plattform zur Vermittlung und Versteigerung von Werbeflächen (vgl. ANA & White Ops, 2014 S. 53).

^[5] Eine Datei, die beim Besuchen einer Webseite auf dem Rechner gespeichert wird und Informationen über das Surfverhalten des Nutzers beinhaltet (vgl. Springer Fachmedien Wiesbaden (Hrsg.), 2013 S. 30).

^[6] Ein Netzwerk, um Verbindungsdaten zu verschleiern und anonym zu surfen (golem.de, o. J.).

^[7] Die Seite, von der ein Besucher weitergeleitet wurde (vgl. Krynin, 2016).

^[8] Ein Forum, für das es keine öffentlichen Links gibt und auf dem illegale Geschäfte getätigt werden (vgl. heise, o. J.).

^[9] Ein neues, inaktives Fenster, das eingeblendet wird, sobald das eigene Browserfenster geschlossen wird (vgl. ANA & White Ops, 2014 S. 54).